12SCCMdevicemanagementwhitepaper.docx
《12SCCMdevicemanagementwhitepaper.docx》由会员分享,可在线阅读,更多相关《12SCCMdevicemanagementwhitepaper.docx(17页珍藏版)》请在冰豆网上搜索。
12SCCMdevicemanagementwhitepaper
Microsoft®SystemCenterConfigurationManager移动设备管理
微软(中国)有限公司
发布:
11/05/07
内容提要
SystemCenterConfigurationManager2007为可控基础设施带来了重要价值,其中大部分价值来自于对完整的端对端架构-包括移动设备的管理能力。
在企业内部,移动设备的重要性不断增加。
移动设备早已不再局限于最初的原始个人信息管理,最新一代的智能移动设备(以WindowsCE和WindowsMobile为平台)能够在许多情况下继续为用户提供不可或缺的实时数据,如保险业(保险索赔的实地提交)、医疗(在急诊室为医生提供最新的药物信息)、工程(在制造车间查找飞机的设计规范)。
这种移动应用程序和其他业务线应用程序一样重要,然而对这些设备的管理绝大部份是被动的或根本不存在,通常是由于缺少妥善管理这些设备(并并与IT架构的其他部分进行整合)的工具。
另一个原因可能是,现有的管理解决方案需要昂贵的第三方管理系统,但是难以整合到现有的管理架构中。
微软以一个可下载功能包的形式,已经为SystemsManagementServer提供了移动管理。
SystemCenterConfigurationManager2007扩展了对移动设备的管理能力,其设备管理功能包的特性是ConfigurationManager2007产品核心的一部分。
ConfigurationManager2007可提供完整的、全方位的架构管理,为移动设备提供了与台式机和笔记本电脑类似的许多相同管理受益。
现在,通过ConfigurationManager2007,管理业务线(LOB)移动解决方案的部署和维护,同管理架构中的其他部分一样变得更加简单,而无需第三方加载项或对为管理桌面架构而采用的过程作重大改变。
在ConfigurationManager2007中包含和紧密集成移动管理,带来了一个更好管理和更安全的架构,在为企业带来更高的IT价值回报的同时,降低了拥有和运营成本。
©2006微软公司版权所有。
本文档在产品交付生产发布之前撰写,因此,我们不能保证文档中所有的详情都将准确包含在交付的产品中。
本文档包含的信息代表了微软公司在发布本文时对于其中所讨论问题的最新认识,由于微软必须应对不断变化的市场环境,本文档并不代表微软的任何承诺,同时微软并不能保证在本文发布之后所提供信息的准确性。
本文档包含的信息代表了本文发布时的产品,将只能被用于规划目的。
微软不会提前通知信息的修改。
本文档仅供参考。
微软不提供任何保证、明示、或暗示。
Microsoft、ActiveDirectory、Windows、Windows徽标和WindowsServerSystem是微软公司在美国和/或其他国家的注册商标或商标。
所有其他商标的知识产权属于它们各自的所有者。
目录
内容提要1
移动管理的需求4
主动与被动设备管理4
移动设备管理服务的必要性4
综合管理系统的价值5
获取移动设备中客户信息的几种方法:
6
管理功能7
软/硬件清单8
软件分发9
设置管理10
内容漫游11
支持一个安全的移动基础设施11
策略标记12
安全软件包分发12
总结13
移动管理的需求
移动设备已经成为一个功能性IT架构的日常部分,范围已不仅仅局限于今天所看到的手持式个人信息管理器,运行的移动平台包括WindowsCE或Windows移动/智能手机。
在今天的IT架构中所能见到的重要移动设备己扩展到零售嵌入式设备(如销售点终端),手持式产品扫描器,以及行业中托管在移动平台中的纵向业务线应用程序,这些行业如房地产、金融、运输和医疗/制药。
在很多情况下,移动设备进入公司网络都是通过个人购买(如一个耀眼的、新的WindowsMobile智能手机)来实现的,将一个移动平台作为基础设施部署规划的组成部分而整合到数据中心也是很平常的事情。
这样的例子包括,利用Windows移动设备上托管的业务线应用程序,进行零售销售点系统的升级或安装,或为追踪销售访问而采用促进销售的新应用软件。
与任何电脑设备一样,任何新的计算项目被带入数据中心,基本的管理问题都会随之而来:
●如何发现设备
●如何安全使用这些设备
●如何升级这些设备
●如何与设备进行变更/策略通信
一个最好的例子可能就是,在移动设备上托管的一个重要的医疗业务线应用程序,用于查询目前的药物副作用。
如果没有通过这种装置进行管理,医生或护士将如何知道药物数据库是否为最新的呢?
如果在移动设备最需要的时候,平台有能够增加稳定性的更新,并且要确保移动设备运行又将会怎样呢?
在移动/嵌入式解决方案中,设备升级的挑战更为重要,因为可能不会有人一直盯着设备(如扫描器这样的无屏幕设备),也就不知道是否更新完成。
主动与被动设备管理
用户购买移动设备的原因通常都很简单:
在远离企业网络,或者无线上网浏览时能够访问企业邮件、预约和联系人信息。
另外,企业安装重要业务线的移动应用程序主要是通过集中采购,和IT正规采购流程。
IT可以选择忽略消费性电子产品,只向己经认可的设备提供服务。
不管怎样,通常是用户向IT帮助服务台介绍他们新近购置的资产,以寻求电子邮件、浏览器和桌面同步帮助。
这意味着,归根结底,如果未超出网络安全完整性的保护工作,管理架构可以包括个人通讯设备,以及己经获得认可的设备。
移动设备管理服务的必要性
在网络中加强对移动设备的保护并不是很难做到的事-如果有合适的工具。
而管理者往往趋向于使用同样的技术来管理PC机(台式机和笔记本电脑),由于操作系统的覆盖面很小以及嵌入式设备技术本身的限制,移动设备只需要使用那些己制定完善的服务中的一部分。
重要的移动设备管理可能包括以下几个方面:
●移动设备的硬件目录
●资产目录(应用软件和文件目录)
●文件备份(文件收集管理)
●设置管理(如在未使用一段时间后锁定)
●无线访问(通过使用脱机设备如笔记本电脑,访问互联网)
●报告
●软件分发(发送原始或更新的业务线应用软件)
●安全覆盖(如相互认证和安全升级)
结合移动管理工具可为用户的移动设备部署提供机会,以支持关键的、常见的场景。
整合管理系统的价值
现有的管理工具,如SystemsManagementServer,围绕着丰富的硬件和软件清单、策略说明和实施以及软件分发,己经具有相当不错的桌面/PC架构管理功能。
在许多情况下,我们可以在更大的管理基础设施之外管理移动和嵌入式设备,原因有以下几点:
●没有足够的现成的微软或合作伙伴工具来管理移动/嵌入式设备。
●与现有的微软工具-或合作伙伴插件相比,合作伙伴工具能够更好地整合SystemsManagementServer。
●许多ITshop,根本不知道其基础设施内系统部署到何种程序(介于专用部署移动应用软件,个人手持式移动设备,和己部署好的嵌入式移动系统)。
SystemsManagementServer的设备管理功能包使我们向实现移动桌面的综合管理又迈进了一大步。
ConfigurationManager2007不再需要下载并安装设备管理功能包,这使得设备管理成为标准PC台式机的一个同级组件。
部署一套包括移动设备的综合管理系统,将会带来巨大的协同利益。
●不再需要对SystemCenterConfigurationManager2007管理员进行进一步的库存报告运行、分发包创建,或移动设备安全策略设定的培训。
PC桌面执行这些功能所需要的过程和工具与管理移动设备所需要的几乎是相同的。
●通过在一个库存数据库下集中硬件设备库存,管理员才有可能有目的的部署移动设备群组。
●许多耗费时间的个人移动设备支持工作可由帮助服务人员完成,因为管理员通过策略即可提供基本的邮件/企业架构访问,此种策略可将对企业和个人移动资产的访问标准化。
SystemCenterConfigurationManager2007移动管理功能
通过ConfigurationManager2007对移动管理进行支持是很简单的,因为除了少数例外,绝大多数移动设备的管理与PC桌面的管理是非常相似的。
那些熟悉SystemsManagementServer的人会注意到设备管理要做的工作与PC设备管理非常类似。
在结构上,主要的新服务器组件是添加到典型的服务器管理集内的“设备管理点(DeviceManagementPoint)”(如主站点、站点数据库、分发点等等)。
一个设备管理点即可以同时为许多移动设备提供服务,但为了保持网络负载平衡也可以配置更多管理点。
值得注意的是,对移动设备的管理并不严格局限于传统的手持式无线设备(如一个PocketPC手机或智能手机)。
一经部署,ConfigurationManager的设备管理即可以通过ActiveSync或直接通过网络连接(有线或无线)便可以轻松的管理任何运行WindowsCE或WindowsMobile的设备。
支持的平台包括:
●WindowsCE4.2和5(ARM芯片组)
●X86架构上的WindowsCE5
●PPC或智能手机上的WindowsMobile2003、2005、2006
现在的SystemCenter管理员希望能将移动设备纳入其管理的网络,他们最有可能想知道的是:
●客户端需求是什么以及我如何将此客户端部署到设备中?
●如何确定SystemCenter库存数据库中的硬件清单?
●可对设备作哪些设置?
●如何打包并部署移动客户端的应用程序?
●有哪些可行的安全设定?
如何锁定移动设备?
●SystemCenter如何在保证网络安全的前提下为移动客户端提供无线空中(无线上网)服务?
目前,由于Windows移动操作系统(WindowsCE和WindowsMobile设备)没有一个默认安装的管理客户端,管理员必须首先确保移动设备客户端是安装在移动装置上的。
尽管许多移动设备管理功能是移动平台所固有的(如需要PIN密码),但客户端在安装软件和更新设置时,均要向ConfigurationManager2007发送报告。
由于移动客户端管理是一个拉的模式(所有活动均由客户端发起),因此移动客户端负责执行所有与移动客户端管理相关的活动,如下拉软件分发包、提取和应用设置,以及向ConfigurationManagement系统报告硬件/软件变更。
有多种方法取得移动设备的客户端:
●如果移动设备由独立软件提供商使用WindowsCE平台编码构建,那么它可能已经嵌入了设备管理客户端。
在WindowsCE的镜像创建期间,独立软件提供商(使用CE平台编码程序)具有一个选项可将设备管理客户端添加到CE构建中。
部署完毕后,该设备将已具备可运行的设备管理客户端了。
●将设备管理客户端的CAB文件储存在存储卡上或在设备连接时复制到ActiveSync桌面上。
一旦CAB文件存在于设备中,您就可以在移动设备上手动配置(像任何其他CAB文件)。
注意:
这不是最自动化的方法,而且通常是管理员在测试客户端安装时执行。
●通过软件分发将客户端部署到ConfigurationManager2007管理桌面(已经安装了ConfigurationManager桌面客户端)。
通过设备与移动设备的ActiveSync连接,设备管理客户端的部署只需要设备所有者极少的参与(原生模式在运行过程中可能需要用户进行响应)。
●提供一个安全的网站,使设备能够下载一个有标记的CAB文件。
一旦下载完成后,设备所有者可以执行客户端安装。
当移动设备是从未或几乎从未执行过ActiveSync连接程序时,这是最有用的方法。
●手动将客户端复制到设备中(通过手动的ActiveSync),并运行安装程序。
为了简便,在WinCE移动设备内内置设备管理客户端,是部署移动设备管理客户端最简单的方法。
这是最少见的场景,除非一个企业具有非常特殊的移动设备,该移动设备都采用独立软件提供商的WindowsCE版本并预装了设备管理客户端。
更多的情况是,一个企业将有一个或更多需要部署和管理的业务线应用程序。
理想的部署方案是,使用综合的移动管理系统在现成的移动设备中安装移动LOB应用软件(如在WindowsMobile电话中部署一个药物应用软件)。
在这种情况下,通过ConfigurationManager执行的移动客户端自动部署会分为不同的阶段进行。
●首先,假设基础设施是通过部署好的桌面管理客户端来运行ConfigurationManager2007,那么客户端清单扩展就会发现ActiveSync连接的CE设备信息
●管理员可得到一份CE设备报告,此报告适用于ConfigurationManager下的设备管理
●ActiveSync连接设备收集到的数据清单允许计算机通过ConfigurationManager将设备管理客户端的目标定为那些需要支持和CE设备连接的电脑
●利用ConfigurationManager的软件分发功能,在PC上运行设备管理安装程序,并通过ActiveSync安装设备管理客户端
●当下一次设备连接到ActiveSync,设备管理客户端将自动在设备上安装
●补充设定(如私人证书或其他设定)也可以通过安装应用程序部署在该装置上(当设备管理客户端安装后)
无论管理员如何部署设备管理客户端(手动或自动),客户端更新-或任何其他设备管理方面的工作(如密码设置),都可以通过无线(如手机无线连接)、网络连接或底座连接来完成。
管理功能
将设备加入ConfigurationManager的管理域,可使管理员为该设备的用户带来巨大的利益。
而移动设备的临时用户也可从其简单的配置、更高的安全性和软件版本的升级中获益,因此综合管理对部署在移动设备中的业务线尤为重要(适用于管理员和设备使用者)。
有些环境如车间中大量使用移动设备,可能会导致严重的问题甚至发生停机。
同时,实现一个无管理设备的可管理性是ConfigurationManager设备管理的首要目标(主要为管理员提供便利),ConfigurationManagement下的移动设备消费者也将会获得以下收益:
●企业内网访问的简单化(假设ConfigurationManager管理员己经允许访问)
●使用中的手持式应用软件的数据自动升级
●设备放错地方时到位的安全保护措施(如定时锁定和强PIN密码)
●设备中的存档文件自动上传到企业网络,备份珍贵的移动设备数据
有些管理员表示如果能保留无管理设备的传统特点并将其加入到普通的SystemCenter管理圈内,他们也会创造出巨大的价值,这些价值大部分通过对另一设备的管理体现出来,这与管理标准PC桌面是很相似的。
相似之处在于硬件/软件清单的范围、文件备份(收集)、软件分发、脚本执行、设置管理以及密码策略管理。
硬件/软件清单
设备管理客户端可从移动设备获得信息,这对识别该设备的CPU(对软件分发也有用),设备名称和唯一的硬件ID尤其有用。
其他详细数据包括屏幕宽度(如果设备有一个屏幕)、电话号码、记忆设备、用户信息和操作系统的详细信息,如版本号。
与典型的台式机硬件清单相比,由于移动设备没有WMI(WindowsManagementInstrumentation)代理,因此移动设备客户端发现的信息量是通常PC桌面的硬件清单代理发现量的一个子集。
尽管如此,移动客户端为ConfigurationManager提供了大量其他方式无法获得的设备可用数据。
可通过为设备定制DLL扩展硬件清单。
当移动设备的硬件类型非常不标准时(如定制的I/O设备或非标准网络设备),这是非常有用的方式。
移动设备中的软件清单查询文件允许通配符搜索(例如所有*exe文件),并能在CE文件系统中查找文件目录或应用程序。
对现有SystemManagementServer配置软件清单熟悉的管理员会发现,使用移动设备的软件清单进行工作时与此非常相似。
对于ConfigurationManager管理员,台式机和移动设备的软件清单之间的区别也不大。
文件收集支持几乎与台式机文件收集管理完全相同。
所要查找的文件大小,日期和文件的上传收集(加上ConfigurationManager架构中归档时间过长的和以前上传的版本)可以由管理员自行设定,其目的是保护移动设备中的存储文件。
移动设备文件的例子可能是一个联系人名单(智能手机中人工产生)或在嵌入式解决方案中无屏幕WindowsCE移动设备中的日志文件。
软件分发
通过在台式机上使用SystemManagementServer和SystemCenterConfigurationManager管理环境的管理员会发现,移动设备的软件分发具有相似的功能。
如果企业在业务线应用中使用移动设备,这一功能尤为重要。
临时的移动用户(电子邮件、联系人和互联网浏览)很少需要软件包分发(除补丁),而业务线应用用户必须时刻具有更新的应用程序和正确的配置。
对于没有屏幕移动设备,只能通过软件分发进行更新/强制安装软件,而不用将设备带入实验室以及进行手动更新。
存储硬件清单、ConfigurationManager清单数据库将包含移动设备的CPU和操作系统的具体数据。
这些信息特别重要,因为你不能将x86应用程序包分发到ARM芯片设备(许多WindowsCE/Mobile用户手机所用芯片)。
虽然移动操作系统内置的保护装置可以防止目标错误的软件升级破坏操作系统(如使用x86程序更新到ARM设备),但是更好的解决办法是创建与正确的平台相关的分发目标,并提供准确的部署报告。
软件分发首页
移动设备的分发/安装模式相当简单;下载和执行即可。
注意,下载和安装的控制(以及许多移动设备管理的其他方面)都是客户端驱动的。
如果下载/安装软件分发进程被中断,在网络重新连接后移动客户端可从其停止的地方继续进行(检查点/重启)。
移动软件分发的其它功能包括管理员可对网络状态进行控制以方便下载。
如管理员可将软件分发定为目标任务,但限定只有在设备对接或具有快速网络连接时才执行下载。
设备广告是桌面/电脑广告的简化版本。
设备广告支持时间间隔调度(每天/周运行程序)。
这对软件包的设置特别有用,可以保证由管理员控制的移动设备能够长期保持其设置。
如果移动设备用户改变设置,在下一个调度运行期间其设置将被恢复到公司策略所要求的状态下。
如果需要强制进行软件分发,那么管理员也可指派下载(强迫,强制软件发行),或使其成为可选项。
最后,状态信息会反馈回ConfigurationManager,这样就可以显示出下载的情况。
这些信息是:
下载开始,程序执行启动和程序执行完成。
设置管理
WindowsCE和移动设备有很多设置选项。
通过ConfigurationManager进行分发设置的机制为,通过一个向导创建一个包含理想设定的XML文件,而该向导是ConfigurationManager控制台的一部分。
然后将XML文件转换成一个CAB文件(标准的方式是通过ConfigurationManager将移动软件分发至移动客户端)。
移动客户端可下载CAB设置文件,打开并根据CAB文件内容执行本地设置更改。
这使得管理员可以进行细致的设置管理,使他们能够熟练地进行常用的设备设置,如网络选择(PPP、VPN、GPRS),应用程序(Outlook/Exchange连接方式,IE代理设置)和安全(公共和私人证书的安装)。
如前所述,结合了软件分发的设置,使得管理员能够通过设置定义与软件分发下载间隔(每天,每周,每月等)配合,执行有针对性的移动设备策略,因此加强了管理员定义策略的执行。
密码政策管理是设置管理的一个方面,选项包括强制的PIN长度,使用字符和字母,以及拒绝访问前的密码重试次数。
密码策略和管理
从根本上说,移动设备的密码策略管理是设置管理的一个方面。
移动设备的管理选项没有台式机那么多,但基本的密码策略管理对任何企业生产线的移动设备部署通常都是强制性的。
虽然个人设备的损失可能意味着丢失电子邮件、联系人和本地移动文件数据(这对它和它本身都非常糟糕),但一个丢失的业务线应用移动设备中可能含有保密的医疗数据,或者机密的法律或财务数据。
因此,任何移动业务线应用的部署都最希望能够执行强化而严格的密码策略。
WindowsCE和WindowsMobile设备允许创建一个PIN式的密码,并且有一个选项询问是否设置安全性更强的密码。
进行锁定之前的超时设置是一个最佳实践,但是该设置在许多移动设备上不是默认打开的。
使用ConfigurationManager的移动设备管理,密码策略可由管理员制定和部署以实现这些选择。
几乎任何移动设备的部署都会用到密码策略管理。
正是由于移动设备的本质特点-脱离办公桌或公文包-大大增加了丢失和暴露企业机密数据的风险。
内容漫游
与特定的台式机或设备有关的数据越多,对那些快速出现数据的下载就越重要。
登录到电脑并等待着缓慢的下载用户文件数据链接就是一个很好的例子,而一个适当的内容漫游设置就可以减少对支持中心的呼叫,并可以使网络更具效率。
由于移动设备的容量还未达到PC台式机的容量大小,因此ConfigurationManager支持移动设备的内容漫游。
虽然这对于今天的大部分设备来讲还不是首要任务,但随着设备在处理器能力、速度和存储上的不断增加,合理的部署能够为将来进一步的扩展作准备。
支持一个安全的移动架构
设备连接到台式机时,移到设备可受到台式机内安全层的保护(假设它是由SystemCenter管理的桌面)。
对于总是通过设备接口进行升级,不与任何网络连接(有线或无线)的设备,或对于很好限定的应用软件,安全并不是个问题(可供移动设备使用的信息均可被广泛阅读/使用),对移动设备的安全需求即到此为止。
不幸的是,这并不能说明大多数移动设备的部署情况。
在某些情况下,移动设备从不采用接口或ActiveSync连接。
在这种情况下,企业网络内的大部分通讯均通过TCPIP发生。
在这样的环境中,安全问题包括:
●Outlook与Exchange的同步:
用户如何安全地上传和下载电子邮件
●软件分发如何能部署应用程序或升级企业的移动设备,并保证部署包未被篡改
●如何安全地浏览企业内网
●为了保护基础设施,内部或面向互联网的服务器如何安全地识别移动客户端
为了将安全性提到最高,整个过程有一部分涉及到PKI(公共密钥,PublicKeyCryptography)证书的使用,以确保在网络架构中角色(或任务)的识别。
PKI证书是作为ConfigurationManager外的一个单独程序发放给服务器和设备的,以利用它来提高某些操作的安全性。
当客户需要证书时,它就需要信任发放代理机构。
该机构可能是个人、组织或经正式认可的机构,其存在就是为了发放这种证书。
知道这点很重要,因为很多运送到消费者手中的移动设备已经信任了众所周知的商业机构(如VeriSign)。
因此,如果在ConfigurationManagement部署中使用了这些权威机构发放的证书,则取决于移动设备己经信任了该机构发放的证书。
如果您决定自行发布(或称为自主CA或CertificateAuthority)